shiro 身份认证 流程图讲解

最新推荐文章于 2025-06-24 00:15:00 发布
转载 最新推荐文章于 2025-06-24 00:15:00 发布 · 2.7k 阅读 · 1

本文介绍了Shiro框架的身份验证机制,包括Authenticator和AuthenticationStrategy接口的功能。解释了SecurityManager、Authenticator、Authorizer和SessionManager等核心组件的作用,并详细描述了几种不同的验证策略。

这里写图片描述

在流程图3中,有Authenticator和AuthenticationStrategy2个接口。

Authenticator的职责是验证用户帐号,是Shiro API中身份验证核心的入口点:

它只有一个方法:

public AuthenticationInfo authenticate(AuthenticationToken authenticationToken)  
            throws AuthenticationException;

如果验证成功,将返回AuthenticationInfo验证信息;此信息中包含了身份及凭证;如果验证失败将抛出相应的AuthenticationException实现。

Shiro 主要有四个组件

SecurityManager
典型的 Facade,Shiro 通过它对外提供安全管理的各种服务。
Authenticator
对“Who are you ?”进行核实。通常涉及用户名和密码。
这 个组件负责收集 principals 和 credentials,并将它们提交给应用系统。如果提交的 credentials 跟应用系统中提供的 credentials 吻合,就能够继续访问,否则需要重新提交 principals 和 credentials,或者直接终止访问。
Authorizer
身 份份验证通过后,由这个组件对登录人员进行访问控制的筛查,比如“who can do what”, 或者“who can do which actions”。Shiro 采用“基于 Realm”的方法,即用户(又称 Subject)、用户组、角色和 permission 的聚合体。
Session Manager
这个组件保证了异构客户端的访问,配置简单。它是基于 POJO/J2SE 的,不跟任何的客户端或者协议绑定。

身份认证流程图的描述:
这里写图片描述

SecurityManager接口继承了Authenticator,另外还有一个ModuleRealmAuthenticator实现,其委托给多个Realm进行验证,验证规则听过AuthenticationStrategy接口指定,默认提供的实现

FirstSuccessfulStrategy:只要有一个Realm验证成功即可,只返回第一个Realm身份验证成功的认证信息,其他的忽略
AtLeastOneSuccessfulStrategy:只要有一个Realm验证成功即可,和FirstSuccessfulStrategy不同,返回所有Realm身份验证从的认证信息
AllSuccessfulStrategy:所有Realm验证成功才算成功,且返回所有Realm身份验证成功的认证信息,如果有一个失败就失败了

ModularRealmAuthenticator默认使用AtLeastOneSuccessfulStrategy策略。

shiro架构图及执行流程详解
时光如白驹过隙的博客
08-29 6855
1、shiro架构图 shiro基本架构图: Subject: 主体,可以是任何可以与应用交互的“用户”; SecurityManager: 相当于SpringMVC中的DispatcherServlet,是Shiro的心脏;所有具体的交互都通过SecurityManager进行控制;它管理着所有Subject、且负责进行认证和授权、及会话、缓存的管理。 Authenticator: 认证器,负责主体认证的,这是一个扩展点,如果用户觉得Shiro默认的不好,可以自定义实现;其需要认证策略(Authenti
浅淡shiro的工作流程及原理 之 身份认证(一)
weixin_50235024的博客
09-08 446
目录 前言 身份认证工作流程 1. 项目结构 2. 工作流程 身份认证的原理 总结 前言 这篇文章是记录我学习springboot整合shiro的学习感悟,因此,这篇文章的主要读者对象是了解springboot整合shiro。如果有错误的地方,还请各位谅解,与纠正小编的错误。 身份认证工作流程 1. 项目结构 项目结构如下图所示: 2. 工作流程 我将以我的项目为模板,讲解shiro的工作流程。 1. 项目启动,创建ShiroConfig配置的...
shiro认证流程图
weixin_43150427的博客
08-14 389
shiro认证流程图
Shiro技术原理与实战全景详解
最新发布
IT技术学习与工作笔记分享
06-24 1115
Shiro作为一款轻量级、可扩展的Java安全框架,以Subject为中心,分层解耦认证、授权、会话、加密等安全功能。可插拔架构、灵活扩展能力使其适用于各类企业级应用和分布式系统。通过自定义Realm、缓存优化、与主流技术栈集成,Shiro能够满足高并发、高安全性场景需求。理解其主流程、源码与架构演进,有助于在实际项目中设计高效、安全的权限管理体系。主流程分四步,认证授权会话密;Subject为核心,分层解耦扩展易;缓存优化提性能,架构演进应分布。
Shiro(一):Shiro介绍及主要流程
weixin_34250709的博客
06-10 158
什么是Shiro Apache Shiro是一个强大且灵活的开源安全框架,易于使用且好理解,撇开了搭建安全框架时的复杂性。 Shiro可以帮助我们做以下几件事: 认证使用者的身份 提供用户的访问控制,比如: 决定一个用户是否被授予某个特定的安全角色 决定用户是否允许做某件事 可以在任何环境中使用Session API,不在局限于web或是EJB容器中 可以在认证,访问控制或是sessi...
一图讲解shiro流程
ljz2016的博客
06-29 2587
shiro执行流程:
Shiro 入门教程 - Shiro 集成验证码
smart_an的专栏
07-21 1120
作者简介:大家好,我是哥,前中兴通讯、美团架构师,现某互联网公司联系qq:184480602,加我进群,大家一起学习,一起进步,一起对抗互联网寒冬学习必须往深处挖,挖的越深,基础越扎实!
Shiro 入门教程 - Shiro 拦截器机制
smart_an的专栏
07-19 1046
Shiro 使用了与 Servlet 一样的 Filter 接口进行扩展;NameableFilter 给 Filter 起个名字,如果没有设置默认就是 FilterName;还记得之前的如 authc 吗?当我们组装拦截器链时会根据这个名字找到相应的拦截器实例;OncePerRequestFilter 用于防止多次执行 Filter 的;也就是说一次请求只会走一次拦截器链;
Shiro基于注解的授权实战:核心组件与认证流程详解
本文档主要介绍了如何在Shiro框架中利用注解实现基于注解的授权功能。...总结来说,本篇文章着重讲解Shiro的架构和基于注解的授权实现方法,这对于理解和在实际项目中运用Shiro进行用户认证和权限管理非常有帮助。
浅析基于Spring Security 的身份认证流程
Java技术攻略的博客
03-21 231
Spring Security 是一个专注于为 Java 应用程序提供身份认证和授权的框架。身份认证(authentication),即验证用户身份的合法性,以判断用户能否登录。授权(authentication),即验证用户是否有权限访问某些资源或者执行某些操作。本文将结合源码对身份认证(authentication)的流程和核心组件进行详细讲解。Spring Security 进行身份认证这一功能主要是通过一系列的过滤器链配合来实现的。
Shiro 认证过程
weixin_43145065的博客
10-19 250
Shiro 认证过程
shiro登录验证实例
02-03
shiro登录验证实例,下载包虽然是web_exception_project.zip,但是确实是shiro登录验证实例,请放心下载,另外,实例详情请访问博主博客:http://blog.youkuaiyun.com/u013142781
shiro框架 身份认证流程
hanfangning1989的博客
08-01 783
身份认证流程 首先调用Subject.login(token)进行登录,其会自动委托给Security Manager,调用之前必须通过SecurityUtils.setSecurityManager()设置; Security Manager负责真正的身份验证逻辑,它会委托给Authenticator进行身份验证; Authenticator才是真正的身份验证者,Shiro API中核心的身...
零散知识记录
xydxiong的博客
04-14 224
零散知识点记录 1 :shiro 2 :对象比较
shiro认证的流程
知识在于积累
04-28 1672
3.1shiro认证流程(掌握!!!)    1、subject.login(token);     token:令牌,包括账号和密码     token是根据当前用户请求的账号和密码去构造!     2、securityManager.login(token)     3、Authenticator.login(token) (重点理解部分)      Authenticat
shiro权限认证及授权的执行流程分析及图解(一)
热门推荐
11-22 3万+
(配置文件请看下一个博客) https://blog.youkuaiyun.com/weixin_41716049/article/details/84336696 为了颜色标识注释,前面没有使用代码框,多多担待 《一,认证》 1.先建两个class文件 一个写AuthRealm (授权与认证方法,并继承)extends AuthorizingRealm 获取其默认方法doGetAu...
Shiro授权流程图
weixin_36894490的博客
11-11 654
Shiro授权流程Shiro授权流程图Shiro授权流程文字说明 Shiro授权流程图 参考:https://www.w3cschool.cn/shiro/skex1if6.html 根据Shiro授权流程文字说明,绘制流程图如下: Shiro授权流程文字说明 流程如下: 首先调用 Subject.isPermitted*/hasRole接口,其会委托给 SecurityManager,而 SecurityManager 接着会委托给 Authorizer; Authorizer 是真正的授权者,如果我
Shiro 的认证流程和鉴权流程
qq_35987642的博客
09-01 812
1> 将需要登陆的账号和密码封装成UsernamePasswordToken 2> 从SecurityUtils中获取Subject对象,然后调用login方法,然后把token作为参数传入 3> 调用subject.login()之后,会交给SecurityManager进行请求的处理 4> 安全管理器SecurityManager会把请求转发给认证器Authenticator 5> 认证器 Authenticator 会调用Realm中的方法并把token...
shiro流程
~
04-26 2736
FormAuthenticationFilter资料 Shiro登录成功之后跳到指定URL  1.web.xml里配置(ShiroFilter入口) shiroFilter org.springframework.web.filter.DelegatingFilterProxy targetFilterLifecycle
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值